IKS-Software: Die 12 wichtigsten Kriterien für die Auswahl

Eine geeignete IKS-Software zu finden, ist sicher keine einfache Aufgabe. Insbesondere da sich die Geschäftsanforderungen unterscheiden und es kein einheitliches System für alle Bedürfnisse gibt – auch wenn manche Anbieter Ihnen dies glaubhaft machen wollen.

In diesem Blog-Artikel fassen wir daher die wesentlichsten Kriterien für Sie zusammen, auf die Sie bei der Auswahl einer IKS-Software achten sollten. Am Ende dieses Blog-Posts finden Sie einen detaillierten Kriterienkatalog, der Sie beim Vergleich verschiedener Anbieter unterstützt, damit Sie das für Ihre Bedürfnisse am besten geeignete Tool wählen.

Das Interne Kontrollsystem hat sich über die Jahre hinweg als wichtiges Managementsystem etabliert. Während der Schwerpunkt ursprünglich auf der Sicherstellung der Vollständigkeit und Korrektheit der Finanzberichterstattung lag, umfasst es heute viele weitere Aspekte – vom Umgang mit operationellen Risiken bis zur Sicherstellung der ordnungsgemäßen Durchführung von Geschäftsprozessen. Gerade wenn es um die erfolgreiche Umsetzung und den gelebten Betrieb des Internen Kontrollsystems geht, ist es wichtig, ein geeignetes Werkzeug für ihr IKS einzusetzen.

Ein geeignetes Tool zu finden, ist heutzutage kein einfaches Unterfangen mehr, nicht zuletzt aufgrund der hohen Anzahl an Tool-Anbietern. Neben dem Faktor Kosten, der sicherlich eine große Rolle bei der Auswahl spielt, soll die IKS-Software ja auch optimal auf Ihre individuellen Rahmenbedingungen und Bedürfnisse abgestimmt sein, um den gewünschten Mehrwert zu erzielen. Bevor Sie sich also auf Anbieter-Suche begeben, ist es sinnvoll, einen Kriterienkatalog, sprich eine Anforderungsliste Ihrer Bedürfnisse zu erstellen.

Vorschau: IKS-Kriterienkatalog der BOC Group

Nun kennen Sie natürlich die Grundanforderungen an ein IKS-System, Sie wissen, dass Kontrollen erfasst und beschrieben werden müssen. Sie wissen auch, dass diese gewissen Assets (wie beispielsweise Prozessen) in Ihrem Unternehmen zugeordnet sein müssen, und dass die Durchführung der Kontrollen geplant und kontrolliert werden muss. Doch: leiten Sie Ihren Kriterienkatalog ausschließlich davon ab, werden Sie es schwer haben, effizient damit fertig zu werden und gleichzeitig sicherzustellen, die wichtigsten Aspekte sicher abgedeckt zu haben.

Aus diesem Grund haben wir die wichtigsten Kriterienbereiche und Anforderungen zusammengefasst, auf die wir in den vergangenen Jahren in verschiedensten Auswahlprozessen gestoßen sind. Wenn Sie die folgende Übersicht hilfreich finden, downloaden Sie den detaillierten Kriterienkatalog am Ende dieses Artikels. Er hilft Ihnen dabei, verschiedene Anbieter auf Grundlage Ihrer spezifischen Prioritätenliste zu vergleichen.

Die meisten Kriterienkataloge gruppieren die Anforderungen entlang der folgenden 12 Schlüsseldimensionen. Diese sind:

1. Integriertes IKS Management – Informationsverbund
2. Übernahme, Erfassung und Scoping
3. Berechtigungskonzept
4. Auditkonformität und Versionsmanagement
5. Assessments / Bewertungen
6. Workflows
7. Benachrichtigungen, Statusreports und Erinnerungen
8. Dashboards
9. Monitoring, Protokollierung und Historisierung
10. Datenverarbeitung, – ablage und -validierung
11. Individualisierung, Integrationen und Erweiterungen
12. Berichtswesen und Reporting

Nachfolgend haben wir für Sie konkrete Anforderungen einer jeden Schlüsseldimension aufgelistet. Weitere IKS-Software-Anforderungen finden Sie im Anschluss in unserem Kriterienkatalog kostenlos zum Download.

Zusammenhänge sowie Abhängigkeiten zu verstehen und diese im richtigen Kontext zu betrachten ist das Um und Auf eines erfolgreichen IKS. Dementsprechend ist die Integration des IKS mit Ihren Geschäftsprozesse von essenzieller Bedeutung, um Informationen ganzheitlich zu betrachten und Transparenz zu schaffen. Daraus ergeben sich die folgenden Anforderungen:

• Synchrone und bidirektionale Integration des IKS-Tools mit dem Geschäftsprozessmanagement
• Integrierte Auswertung von IKS- und GPM-Informationen, um Zusammenhänge und Entwicklungen transparent zu machen.

Aller Anfang muss nicht immer schwer sein. Achten Sie daher gleich zu Beginn darauf, dass bei der favorisierten IKS-Software die Übernahme und die Erfassung Ihrer Daten sowie das gesamte Scoping von einem mühelosen Prozess gezeugt ist. Konkrete Anforderungen könnten an dieser Stelle sein:

• Direkte und einfache Übernahme bestehender Inhalte aus Dokumenten und Drittsystemen
• Flexible Verknüpfung von Kontrollen, Risiken und Maßnahmen anhand der Organisationsstruktur und Geschäftsprozesse

Bei Fragen zu Berechtigungen handelt es sich häufig um ein heikles Thema. Nicht jeder Inhalt soll auch jedem User frei zugänglich zur Verfügung stehen. Daher ist es umso wichtiger, dass Ihre IKS-Software alle Aspekte des Need-to-know-Prinzips vollumfänglich unterstützt. Nehmen Sie die folgenden Anforderungen in Ihre Evaluierung mit:

• Möglichkeit der eindeutigen Zuweisung von Berechtigungen (beispielsweise kein Zugriff, lesend, schreibend) auf Organisations- sowie Prozessebene
• Jeglicher Zugriff ist strikt nur explizit autorisierten Benutzern vorenthalten

Um sicherzustellen, dass geltende Anforderungen und Vorschriften erfüllt werden, ist Auditkonformität in Kombination mit Versionsmanagement unabdingbar. Sämtliche Aktivitäten im Rahmen der internen Kontrolle werden protokolliert und das IKS durch laufende Aktualisierungen stets aktuell sowie wirksam gehalten. Beachten Sie folgende Aspekte bei der Auswahl Ihrer Software:

• Die Software verfügt über eine automatische, revisionssichere Versionierung aller IKS-Objekte (u.a. Risiken, Kontrollen und Vorgaben)
• Vollständige Protokollierung aller Aktivitäten (bspw. Kontrolltest), inklusive der zu diesem Zeitpunkt gültigen, verknüpften Informationen (u.a. Prozesse, Applikationen, Organisationseinheiten und Rollen)

Damit Transparenz geschaffen wird und geeignete Verbesserungsmaßnahmen abgeleitet werden können, erfolgt regelmäßig die Bewertung potenzieller Risiken anhand definierter Kriterien. Ebenso werden die zur Minderung eingesetzten Kontrollen auf deren Wirksamkeit und Umsetzung geprüft. Dabei ist es unerlässlich Historien, Trends und weitere betroffene Unternehmens-Assets zu berücksichtigen. Aufgrund dessen ergeben sich folgende Auswahlkriterien:

• Bei der Bewertung von Risiken und dem Testen von Kontrollen können alle kontextspezifischen Informationen (u.a. Prozesse, Applikationen, Daten und Vorgaben) miteinbezogen werden
• Im Zuge einer Risikobewertung oder eines Kontrolltests kann auf die gesamte Historie, inklusive Trends und Kommentaren zugegriffen werden

Ohne Workflows geht es nicht – denn automatisierte Workflows sind genau das, was unsere tägliche Arbeit um einiges erleichtert. Sie stellen den korrekten Ablauf von Prozessen sicher. Achten Sie daher darauf, dass insbesondere folgende Anforderungen durch die IKS-Software gedeckt sind:

• Freie Definition und Standardisierung von Freigabe- und Bearbeitungsverfahren sowie der zugehörigen Schritte
• Wiederkehrende Tätigkeiten werden durch das System geplant, gestartet, abgearbeitet und nachgehalten.

Neben automatisierten Workflows sind auch automatisierte Benachrichtigungen und Erinnerungen von grundlegender Bedeutung. Kein oder keine Benutzer:in möchte ständig in die IKS-Software einsteigen, um zu prüfen, ob eine Aufgabe zu erledigen ist. Daher sollte hier das Tool Abhilfe leisten. Folgende Anforderungen sind daher für die Evaluierung der Software hilfreich:

• Mitarbeiter:innen werden automatisiert und individuell über ihre jeweiligen Aufgaben informiert
• Die betroffenen Verantwortlichen werden in regelmäßigen Abständen gesammelt über Statusänderungen informiert

Dashboards zählen ebenfalls zu unseren 12 Schlüsselkriterien. Denn diese zeigen die wesentlichsten Informationen zu bestimmten Objekten in Ihrem Unternehmen an. Komplexe Informationen sollten daher in den Dashboards verständlich aufbereitet und Schlüsseldaten visualisiert werden. Berücksichtigen Sie am besten die folgenden Anforderungen:

• Allen Anwendern steht eine interaktive, individuelle Übersicht ihrer rollenspezifischen Zuständigkeiten und aktuellen Aufgaben zur Verfügung
• Einstieg und Bedienbarkeit sind bewusst einfach und übersichtlich gehalten, um neuen Usern die Arbeit zu erleichtern

Monitoring, Protokollierung und Historisierung – drei Wörter mit hohem Stellenwert. Schließlich kann nur durch diese Funktionen die Revisionssicherheit gewährleistet und der Überblick über alle Daten bewahrt werden. Aus diesem Grund sollte die IKS-Software folgende Anforderungen erfüllen:

• Zur Gewährleistung der Revisionssicherheit sowie aus Gründen der Nachvollziehbarkeit werden relevante Änderungen automatisch protokolliert und historisiert
• Die Prozess-, Kontroll-, Risiko- und Maßnahmen-Portfolios können nach Status, Wirksamkeit, Verantwortung und Zeitplanung sortiert und gefiltert werden

Fehler bei der Dateneingabe sind ärgerlich und können oftmals nur schwer korrigiert werden. Daher ist insbesondere eine genaue Datenverarbeitung, -ablage und -validierung bei einer IKS-Software essenziell. Beachten Sie vor allem folgende Anforderungen:

• Individuelle Validierungsprüfungen helfen dabei Fehleingaben zu vermeiden sowie korrekte, standardisierte und vergleichbare Daten zu gewährleisten
• Um ein vollständiges Abbild der IKS-relevanten Sachlage abzubilden können externe Testergebnisse oder Kontrollbeweise als Dokumente hochgeladen werden

Wie bereits zu Beginn des Artikels erwähnt, sollte die IKS-Software optimal auf Ihre spezifischen Rahmenbedingungen und Bedürfnisse abgestimmt sein. Folglich ist die Möglichkeit der Individualisierung, Integration und Erweiterung von Relevanz. Achten Sie insbesondere darauf, dass sie sich für kein starres System entscheiden! Gehen Sie mit folgenden Anforderungen auf den gewählten IKS-Software-Anbieter zu:

• Die Software bietet viele Konfigurationsmöglichkeiten, welche durch einen kundenseitigen Admin durchgeführt werden können. Der Anbieter vermittelt alle nötigen Kenntnisse über angebotene Administrationsschulungen
• Es steht ein breitgefächertes Portfolio an weiteren fachlichen wie technischen Modulen und Erweiterungen zur Verfügung (bspw. Anbindung an Unternehmensportale oder die spezifischen Anforderungen des Datenschutzes)

Als letztes wesentliches Schlüsselkriterium gilt das Berichtswesen sowie das Reporting. Nicht nur Sie als Experte oder Expertin sollten den Inhalt des Systems und die Daten verstehen. Es gibt natürlich mehrere Stakeholder in Ihrem Unternehmen, die es zu berücksichtigen gilt. Berichte sollten aus diesem Grund sämtliche relevante Zielgruppen abdecken und an individuelle Anforderungen angepasst werden können. Konkrete Anforderungen dazu wären folgende:

• Das Portfolio an verfügbaren Berichten deckt sämtliche Zielgruppen ab und kann individuell an die Anforderungen des Unternehmens angepasst werden
• Das Reporting ermöglicht die Verknüpfung von Information aus der Organisation und den Geschäftsprozessen mit den Risiko-, Kontroll- und Maßnahmenkatalogen

Es ist unbestritten, dass die richtige IKS-Software einen wahren Mehrwert bei der Umsetzung Ihres Internen Kontrollsystems bieten kann. Um sicherzustellen, dass Sie das richtige Tool für Ihre Bedürfnisse auswählen, ist eine gründliche Bewertung verschiedener Anbieter unerlässlich. Unser kostenloser Kriterienkatalog kann Ihnen dabei helfen, dies effizient zu tun. Sichern Sie sich Ihr persönliches Exemplar und zögern Sie nicht, einen unserer Experten zu kontaktieren, wenn Sie Ihre Bedürfnisse und das weitere Vorgehen besprechen möchten.